Nova Onda de Ataques PhantomRaven no NPM Rouba Dados de Desenvolvedores Através de 88 Pacotes Maliciosos

A campanha PhantomRaven, uma operação contínua de ataque à cadeia de suprimentos NPM ativa desde agosto de 2025, implantou 88 pacotes maliciosos adicionais em quatro ondas de ataque. A campanha utiliza slopsquatting para imitar projetos populares como Babel e GraphQL Codegen, empregando nomes de pacotes sugeridos por LLMs para enganar desenvolvedores. Para evadir a inspeção automatizada, a PhantomRaven emprega a técnica de Remote Dynamic Dependencies (RDD), onde o package.json aponta suas dependências para URLs externas controladas pelos atacantes. Isso permite que o malware seja baixado e executado durante o npm install, em vez de ser incorporado diretamente ao pacote. O payload coleta arquivos .gitconfig, .npmrc, variáveis de ambiente e tokens de CI/CD de plataformas como GitHub, GitLab, Jenkins e CircleCI, exfiltrando-os para uma infraestrutura C2 hospedada em EC2. Atualmente, 81 desses pacotes ainda permanecem ativos no registro.